Az ATHENE Nemzeti Kiberbiztonsági Kutatóközpont szerint sikerült megtalálni a módját, hogy ezt a biztonsági mechanizmust könnyen megkerüljék, méghozzá úgy, hogy az érintett hálózatüzemeltetők nem veszik észre. A Haya Shulman professzor által vezetett ATHENE-csoport most ismertette az eredményeit.
Eszerint az internetes forgalom egy részének félreirányítása nagy feltűnést kelt, ahogy ez idén márciusban történt, amikor a Twitter forgalmát részben Oroszországba terelték. Egész vállalatokat vagy országokat lehet elvágni az internettől, vagy óriási léptékben lehet lehallgatni az internetes forgalmat. Technikai szempontból az ilyen támadások általában prefix eltérítéseken alapulnak. Az internet alapvető tervezési problémáját használják ki: nincs biztosítva annak meghatározása, hogy melyik IP-cím melyik hálózathoz tartozik. Annak megakadályozására, hogy az internet bármely hálózata olyan IP-címblokkokat igényelhessen magának, amelyek nincsenek jogszerűen a tulajdonában, az IETF, az internetért felelős szervezet szabványosította a Resource Public Key Infrastructure-t (RPKI). Az RPKI digitálisan aláírt tanúsítványok segítségével igazolja, hogy egy adott IP-címblokk valóban a megadott hálózathoz tartozik. Időközben az ATHENE csapat mérései szerint az összes IP-címblokk közel 40 százaléka rendelkezik RPKI-tanúsítvánnyal, és az összes hálózat mintegy 27 százaléka ellenőrzi ezeket a tanúsítványokat.
A csapat felfedezte, hogy az RPKI-nak van egy tervezési hibája: "Ha egy hálózat nem talál tanúsítványt egy IP-címblokkhoz, akkor azt feltételezi, hogy nem létezik. Ahhoz, hogy a forgalom mégis áramolhasson az interneten, ez a hálózat egyszerűen figyelmen kívül hagyja az RPKI-t az ilyen IP-címblokkok esetében, azaz az útválasztási döntések pusztán a nem biztonságos információkon alapulnak, ahogy eddig is."
Az ATHENE csapata meg tudta mutatni, hogy egy támadó képes megvalósítani ezt a helyzetet, és észrevétlenül kiiktatni a mechanizmust. Ehhez a "Stalloris" névre keresztelt támadáshoz a rosszindulatú szereplőnek egy RPKI közzétételi pontot kell irányítania, de a csapat megjegyzi, hogy ez nem jelent problémát az állami támadók vagy a szervezett kiberbűnözők számára.
A kutatók szerint a hálózatok által az RPKI tanúsítványok ellenőrzésére használt összes népszerű termék sebezhető volt ilyen módon 2021 elején. A hiba felfedezése után a csapat azonnal értesítette a gyártókat, és most az Usenix Security 2022 és a Blackhat USA 2022 konferencián is közzétette az eredményeket. A munka az ATHENE közreműködő a frankfurti Goethe Egyetem, a Fraunhofer SIT és a Darmstadti Műszaki Egyetem kutatóinak együttműködésében készült - írja a Beta News.
További részletek az APNIC blogján olvashatók >>>
